李艷霄

（國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引 言

當(dāng)前，世界進(jìn)入大國(guó)競(jìng)爭(zhēng)時(shí)代，國(guó)際戰(zhàn)略競(jìng)爭(zhēng)呈上升趨勢(shì)，世界主要軍事強(qiáng)國(guó)圍繞軍事智能化展開(kāi)激烈競(jìng)爭(zhēng)。國(guó)防工業(yè)作為促進(jìn)國(guó)民經(jīng)濟(jì)發(fā)展的戰(zhàn)略性和支柱性產(chǎn)業(yè)，易成為各方勢(shì)力監(jiān)控和攻擊的重點(diǎn)目標(biāo)，在新形勢(shì)下面臨更多安全保密威脅與挑戰(zhàn)。為保證國(guó)防工業(yè)領(lǐng)域競(jìng)爭(zhēng)優(yōu)勢(shì)，確保其安全、穩(wěn)定發(fā)展，美國(guó)構(gòu)建了較為完善的國(guó)防工業(yè)安全保密管控體系。

1 構(gòu)建完善的保密管控體系

美國(guó)國(guó)防工業(yè)安全保密管控體系相對(duì)較為完善。主要由政府機(jī)構(gòu)對(duì)國(guó)防工業(yè)系列活動(dòng)中的安全保密事項(xiàng)進(jìn)行監(jiān)督管理，同時(shí)通過(guò)合同中的保密條款約束國(guó)防承包商的保密行為。由此可見(jiàn)，履行保密義務(wù)既受保密相關(guān)法規(guī)約束，又要履行合同約定的保密義務(wù)。

1.1 在合同中明確保密條款

根據(jù)美國(guó)《聯(lián)邦采購(gòu)條例》規(guī)定，在履行合同過(guò)程中，如果需要掌握知悉涉密信息時(shí)，則須明確保密條款。同時(shí)，由于國(guó)防工業(yè)領(lǐng)域事關(guān)國(guó)家安全，會(huì)涉及大量敏感涉密信息，美國(guó)《國(guó)防工業(yè)安全計(jì)劃》要求，在授予承包商涉密合同前，應(yīng)與其簽署《合同安全定密細(xì)則》[1]。該細(xì)則主要是明確承包商在履行合同時(shí)接觸的涉密信息及其保密要求，以及如何保護(hù)這些信息。同時(shí)，在涉密采購(gòu)中，承包商及其工作人員要接觸或知悉國(guó)家秘密，均須事先獲得安全許可。

1.2 監(jiān)管部門(mén)明確分工通力協(xié)作

從體系結(jié)構(gòu)上看，美國(guó)并沒(méi)有專(zhuān)門(mén)設(shè)立國(guó)防工業(yè)安全保密管理部門(mén)，其安全保密管理職能分散到國(guó)防部、國(guó)土安全部、國(guó)務(wù)院、商務(wù)部等部門(mén)的下設(shè)機(jī)構(gòu)中。這些機(jī)構(gòu)之間分工明確，密切配合，為美國(guó)國(guó)防工業(yè)的發(fā)展提供了組織保障。

美國(guó)國(guó)家檔案館、國(guó)土安全部、國(guó)防部等相關(guān)部門(mén)及其內(nèi)設(shè)機(jī)構(gòu)分別從國(guó)防工業(yè)領(lǐng)域保密計(jì)劃制定與監(jiān)督、武器裝備科研生產(chǎn)設(shè)施安全、國(guó)防科研生產(chǎn)系列活動(dòng)的安全保密等方面進(jìn)行監(jiān)管，如圖1 所示。

其中，國(guó)家安全委員會(huì)對(duì)國(guó)防工業(yè)安全保密管理進(jìn)行頂層設(shè)計(jì)和指導(dǎo)，同時(shí)為總統(tǒng)提供有關(guān)安全保密決策的協(xié)調(diào)和咨詢(xún)。

國(guó)防工業(yè)安全保密計(jì)劃的執(zhí)行和監(jiān)督工作，由隸屬于國(guó)家檔案館的信息安全監(jiān)督辦公室負(fù)責(zé)。其還將審查相關(guān)定密異議申請(qǐng)和上訴。同時(shí)，還負(fù)責(zé)監(jiān)管各政府部門(mén)的安全教育與培訓(xùn)計(jì)劃的落實(shí)情況，并為政府和行業(yè)制定分發(fā)安全教育材料。

安全保密領(lǐng)域細(xì)則標(biāo)準(zhǔn)主要由隸屬于商務(wù)部的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院制修訂。其還承擔(dān)美國(guó)政府各部門(mén)之間的信息安全保密領(lǐng)域的教育培訓(xùn)工作，負(fù)責(zé)協(xié)調(diào)國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃。

國(guó)防部是負(fù)責(zé)監(jiān)管美國(guó)國(guó)防工業(yè)安全保密工作的最主要機(jī)構(gòu)，通過(guò)合同管理的方式對(duì)武器裝備科研、生產(chǎn)、試驗(yàn)、儲(chǔ)存、維修保障等軍工企業(yè)進(jìn)行監(jiān)管，國(guó)防部下設(shè)國(guó)防安全服務(wù)局、國(guó)防研究與技術(shù)局、國(guó)防合同管理局、人事管理辦公室等機(jī)構(gòu)，具體執(zhí)行國(guó)防工業(yè)安全保密相關(guān)監(jiān)管工作。

國(guó)防安全服務(wù)局負(fù)責(zé)國(guó)防工業(yè)科研生產(chǎn)機(jī)構(gòu)及國(guó)防合同商的監(jiān)管和安全審查工作，具體包括國(guó)防工業(yè)基礎(chǔ)安全保密政策、制度的制定，并開(kāi)展國(guó)防工業(yè)安全許可及保密審查、信息系統(tǒng)認(rèn)證、人員安全調(diào)查、安全教育和培訓(xùn)等活動(dòng)，以便于統(tǒng)一監(jiān)管。

國(guó)防研究與技術(shù)局負(fù)責(zé)對(duì)國(guó)防機(jī)構(gòu)研發(fā)活動(dòng)進(jìn)行監(jiān)管，防止美國(guó)國(guó)防工業(yè)在軍民技術(shù)轉(zhuǎn)化過(guò)程中出現(xiàn)涉密數(shù)據(jù)泄露問(wèn)題，同時(shí)確認(rèn)研發(fā)活動(dòng)所使用的技術(shù)是否具有潛在的商用潛力；妥善保護(hù)涉密科研成果，對(duì)不需要進(jìn)行保密管理的國(guó)防科研成果及時(shí)解密，轉(zhuǎn)為民用。

國(guó)防合同管理局負(fù)責(zé)對(duì)陸、海、空三軍和國(guó)防后勤局的所有合同進(jìn)行監(jiān)管，并依據(jù)合同條款，督促合同承包商認(rèn)真履行合同保密義務(wù)，嚴(yán)守國(guó)防工業(yè)的安全保密規(guī)定。

人事管理辦公室負(fù)責(zé)聯(lián)邦政府各機(jī)構(gòu)的人員檔案和人事管理工作，負(fù)責(zé)處理人員的背景調(diào)查和安全認(rèn)證事項(xiàng)。

國(guó)防工業(yè)領(lǐng)域的關(guān)鍵設(shè)施安全、應(yīng)急響應(yīng)管理工作主要由國(guó)土安全部負(fù)責(zé)。其下設(shè)聯(lián)邦應(yīng)急管理局、科學(xué)與技術(shù)局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局等機(jī)構(gòu)，其中，聯(lián)邦應(yīng)急管理局主要負(fù)責(zé)應(yīng)對(duì)恐怖襲擊和自然災(zāi)害，包括預(yù)準(zhǔn)備和恢復(fù)工作?？茖W(xué)與技術(shù)局主要負(fù)責(zé)安全分析、生物取證和威脅表征，在應(yīng)對(duì)動(dòng)態(tài)威脅環(huán)境方面發(fā)揮著重要作用。網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局主要負(fù)責(zé)包括國(guó)防工業(yè)領(lǐng)域在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全工作。該機(jī)構(gòu)將網(wǎng)絡(luò)安全和物理安全整合，從物理空間到信息基礎(chǔ)設(shè)施均實(shí)行保護(hù)監(jiān)管。

美國(guó)除加強(qiáng)聯(lián)邦政府部門(mén)間的協(xié)作外，還特別注重建立聯(lián)邦政府與州、地方政府、行業(yè)協(xié)會(huì)、企業(yè)間的合作伙伴關(guān)系，以期共同加強(qiáng)對(duì)國(guó)防工業(yè)領(lǐng)域的安全保密監(jiān)管工作。這種合作模式，可以確保已納入所在地執(zhí)法和緊急計(jì)劃中的國(guó)防工業(yè)基礎(chǔ)關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施，在受到威脅時(shí)將被優(yōu)先響應(yīng)和保護(hù)。

2 加強(qiáng)武器裝備科研生產(chǎn)單位物理防護(hù)

武器裝備科研生產(chǎn)單位作為從事國(guó)防科研生產(chǎn)任務(wù)的主體，其在日常工作中會(huì)接觸或掌握大量涉及國(guó)家秘密的重要信息，易成為各方勢(shì)力監(jiān)控和攻擊的重點(diǎn)目標(biāo)，為此，美國(guó)實(shí)施分區(qū)保護(hù)、分級(jí)保護(hù)、執(zhí)行巡查制度等措施來(lái)強(qiáng)化武器裝備科研生產(chǎn)單位的物理安全。

2.1 實(shí)施分區(qū)保護(hù)

美國(guó)通常采取分區(qū)保護(hù)的方式對(duì)武器裝備科研生產(chǎn)單位及其設(shè)施周邊環(huán)境進(jìn)行保護(hù)，即根據(jù)距離核心建筑物的遠(yuǎn)近，以及重要程度，劃分出不同的保護(hù)區(qū)域，并對(duì)每個(gè)區(qū)域制定相應(yīng)的防護(hù)標(biāo)準(zhǔn)和要求。美國(guó)一般按照距離重要設(shè)施的遠(yuǎn)近，將重要設(shè)施周邊環(huán)境劃分為3 個(gè)層級(jí)，分別是控制周界、隔離區(qū)和空置區(qū)，如圖2 所示。其中，控制周界是指最外層的屏障保護(hù)，一般由圍欄等防入侵裝置構(gòu)成。隔離區(qū)是指重要設(shè)施和控制周界之間的區(qū)域，停車(chē)和道路系統(tǒng)可建設(shè)在此區(qū)域中?？罩脜^(qū)位于隔離區(qū)內(nèi)部，部署在重要設(shè)施周邊。根據(jù)美國(guó)《安防工程設(shè)施規(guī)劃手冊(cè)》規(guī)定，武器裝備科研生產(chǎn)重要設(shè)施距離空置區(qū)邊界的距離不得少于10 米，并隨著設(shè)施的重要程度遞增[2]。同時(shí)，為避免恐怖襲擊、爆炸等威脅對(duì)國(guó)防部建筑物造成破壞，美國(guó)《國(guó)防部建筑物最低反恐標(biāo)準(zhǔn)》要求，國(guó)防部所有的現(xiàn)有和新建的常規(guī)建筑物必須保持適當(dāng)?shù)母綦x距離，同時(shí)還要對(duì)建筑物進(jìn)行防爆加固[3]。

2.2 實(shí)施分級(jí)保護(hù)

美國(guó)通過(guò)對(duì)可能出現(xiàn)的各種威脅進(jìn)行預(yù)先評(píng)估、風(fēng)險(xiǎn)等劃分后，再根據(jù)等級(jí)順序，制定適當(dāng)?shù)姆雷o(hù)預(yù)案，配置相應(yīng)的保障資源，使安全防護(hù)手段發(fā)揮最大功效。美國(guó)對(duì)武器裝備科研生產(chǎn)單位及其關(guān)鍵設(shè)施實(shí)施分級(jí)保護(hù)，共劃分為5 個(gè)等級(jí)，保護(hù)力度依次遞增。

第一級(jí)保護(hù)由機(jī)構(gòu)及其設(shè)施的所有者自行負(fù)責(zé)；隨著威脅的升級(jí)，將啟動(dòng)第二級(jí)保護(hù)，由地方政府介入，對(duì)機(jī)構(gòu)所有者提供幫助和指導(dǎo)；如果地方政府不能提供必要的保護(hù)，將啟動(dòng)第三級(jí)保護(hù)，由州或聯(lián)邦機(jī)構(gòu)介入，以加強(qiáng)保護(hù)措施；當(dāng)威脅情況更為嚴(yán)重時(shí)，啟動(dòng)第四級(jí)保護(hù)，由州長(zhǎng)申請(qǐng)其他聯(lián)邦援助或雇傭國(guó)民警衛(wèi)隊(duì)進(jìn)行保護(hù)；隨著威脅的加劇，在必要的時(shí)候，啟動(dòng)第五級(jí)保護(hù)，由總統(tǒng)派遣美國(guó)軍隊(duì)對(duì)受威脅的武器裝備科研生產(chǎn)單位及其關(guān)鍵設(shè)施進(jìn)行保護(hù)。

根據(jù)《設(shè)施物理安全設(shè)計(jì)指南》，將武器裝備科研生產(chǎn)單位面臨的威脅分為低度威脅、中度威脅、高度威脅和超高度威脅4 種。根據(jù)不同的威脅級(jí)別，對(duì)建筑物的墻體、屋頂和地板均設(shè)有不同的防護(hù)要求：一般來(lái)講，低度威脅情況下對(duì)墻體、屋頂和地板材質(zhì)不做要求；中、高度威脅情況下對(duì)墻體、屋頂和地板材質(zhì)有相應(yīng)要求，應(yīng)選擇磚石混凝土和鋼筋混凝土的墻體，屋頂和地板則要求是鋼筋混凝土結(jié)構(gòu)；超高度威脅情況下需建立單獨(dú)區(qū)域，用以減輕爆炸等造成的不良影響。

2.3 執(zhí)行巡查制度

巡查制度是維護(hù)武器裝備科研生產(chǎn)單位正常秩序和特定目標(biāo)區(qū)域安全的有效措施。通過(guò)人員巡邏等方式維護(hù)武器裝備設(shè)施的安全。美國(guó)的人員巡邏包括定點(diǎn)守衛(wèi)、流動(dòng)巡邏和應(yīng)急小組3 種類(lèi)型。定點(diǎn)守衛(wèi)的地點(diǎn)一般在瞭望臺(tái)或觀測(cè)塔等特殊位置；流動(dòng)巡邏是指對(duì)特定區(qū)域進(jìn)行的周期性巡視和檢查；應(yīng)急小組則負(fù)責(zé)重要設(shè)施的安全防護(hù)，在發(fā)生突發(fā)事件時(shí)，能夠及時(shí)響應(yīng)。其中，瞭望臺(tái)一般采用房屋結(jié)構(gòu)，設(shè)有用于緊急快速操控的區(qū)域，以激活車(chē)輛障礙物系統(tǒng)。在瞭望臺(tái)應(yīng)配有發(fā)聲器，以便面臨危機(jī)情況時(shí)可以觸發(fā)報(bào)警系統(tǒng)，引起核心區(qū)域安保人員注意。瞭望臺(tái)的視野應(yīng)盡量廣闊，環(huán)視角度至少達(dá)到180°。

3 加強(qiáng)國(guó)防工業(yè)領(lǐng)域網(wǎng)絡(luò)安全

近年來(lái)，美國(guó)國(guó)防工業(yè)領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件頻發(fā)，美國(guó)通過(guò)完善網(wǎng)絡(luò)安全戰(zhàn)略布局，推行網(wǎng)絡(luò)安全成熟度模型認(rèn)證，加強(qiáng)新冠肺炎疫情期間遠(yuǎn)程辦公網(wǎng)絡(luò)安全等措施，不斷加強(qiáng)國(guó)防工業(yè)領(lǐng)域網(wǎng)絡(luò)安全。

3.1 完善網(wǎng)絡(luò)安全戰(zhàn)略布局

美國(guó)注重從戰(zhàn)略全局視角出發(fā)，提升網(wǎng)絡(luò)安全威脅及時(shí)發(fā)現(xiàn)、實(shí)時(shí)分析、應(yīng)急響應(yīng)的能力，最終實(shí)現(xiàn)快速?zèng)Q策與保護(hù)。拜登政府非常重視體系化推進(jìn)網(wǎng)絡(luò)安全工作，頒布系列綱領(lǐng)性戰(zhàn)略文件。2021 年3 月，拜登政府發(fā)布《臨時(shí)國(guó)家安全戰(zhàn)略指南》，要求全力維護(hù)美國(guó)網(wǎng)絡(luò)安全利益，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。同年5 月，拜登簽署《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》，要求美聯(lián)邦政府迅速行動(dòng)起來(lái)，確保國(guó)家網(wǎng)絡(luò)安全。

為落實(shí)拜登政府對(duì)網(wǎng)絡(luò)安全領(lǐng)域的各項(xiàng)要求，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）、管理和預(yù)算辦公室等機(jī)構(gòu)相繼發(fā)布配套政策。2021 年11 月，CISA 發(fā)布《網(wǎng)絡(luò)安全事件與漏洞響應(yīng)指南》，為聯(lián)邦機(jī)構(gòu)應(yīng)對(duì)網(wǎng)絡(luò)安全事件和漏洞響應(yīng)提供一套標(biāo)準(zhǔn)程序手冊(cè)，從而有效開(kāi)展網(wǎng)絡(luò)安全事件及漏洞的識(shí)別、應(yīng)對(duì)及上報(bào)活動(dòng)[4]。2022 年1 月，美國(guó)管理和預(yù)算辦公室發(fā)布《聯(lián)邦零信任戰(zhàn)略》，通過(guò)加強(qiáng)身份管理、設(shè)備管理、網(wǎng)絡(luò)管理、第三方評(píng)估和數(shù)據(jù)管理等措施，提升應(yīng)對(duì)日益復(fù)雜和持續(xù)的網(wǎng)絡(luò)威脅的能力。要求各級(jí)政府在2024 財(cái)年結(jié)束之前達(dá)到各項(xiàng)既定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與目標(biāo)。通過(guò)多因素身份認(rèn)證的方式增強(qiáng)網(wǎng)絡(luò)釣魚(yú)行為防御水平，整合機(jī)構(gòu)身份系統(tǒng)，加密進(jìn)出流量。由此可見(jiàn)，為了更好地應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，美聯(lián)邦政府果斷采取措施，及時(shí)加強(qiáng)頂層設(shè)計(jì)，各部門(mén)迅速出臺(tái)細(xì)化文件，及時(shí)打造智能化、精準(zhǔn)化、持續(xù)性的網(wǎng)絡(luò)安全防護(hù)體系。

3.2 推行網(wǎng)絡(luò)安全成熟度模型認(rèn)證

為加強(qiáng)美國(guó)國(guó)防工業(yè)供應(yīng)鏈安全，強(qiáng)化美國(guó)技術(shù)優(yōu)勢(shì)以確保涉密信息和非密受控信息安全，美國(guó)國(guó)防部于2020 年發(fā)布《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》（Cybersecurity Maturity Model Certification，CMMC①CMMC1.0 版是一個(gè)以數(shù)據(jù)保護(hù)為核心的安全成熟度評(píng)價(jià)體系。其包括5 個(gè)等級(jí)，分別為一級(jí)（基礎(chǔ)網(wǎng)絡(luò)成熟度）、二級(jí)（中期網(wǎng)絡(luò)成熟度）、三級(jí)（良好網(wǎng)絡(luò)成熟度）、四級(jí)（前瞻性網(wǎng)絡(luò)安全）、五級(jí)（高級(jí)/先進(jìn)的網(wǎng)絡(luò)安全）。該評(píng)級(jí)體系圍繞數(shù)據(jù)全生命周期開(kāi)展，即圍繞數(shù)據(jù)的創(chuàng)建、收集、存儲(chǔ)、傳輸、處理、銷(xiāo)毀等環(huán)節(jié)進(jìn)行全面保護(hù)和監(jiān)管。）1.0 版，要求凡是涉及聯(lián)邦采購(gòu)合同的承包商要滿(mǎn)足網(wǎng)絡(luò)安全成熟度要求，通過(guò)第三方評(píng)估的方式，確認(rèn)滿(mǎn)足相應(yīng)標(biāo)準(zhǔn)與要求后，才能獲得國(guó)防部合同[5]。CMMC 是一個(gè)分層網(wǎng)絡(luò)安全架構(gòu)，其根據(jù)承包商參與工作所知悉的涉密信息等級(jí)和項(xiàng)目安全級(jí)別設(shè)置不同的要求。CMMC1.0 版實(shí)施運(yùn)行后，一些企業(yè)和非傳統(tǒng)承包商認(rèn)為該流程成本高、過(guò)程繁瑣，全面推行實(shí)施存在一定困難。美國(guó)國(guó)防部在廣泛聽(tīng)取意見(jiàn)，進(jìn)行內(nèi)部審查后，迅速行動(dòng)及時(shí)調(diào)整，于2021 年11 月發(fā)布CMMC2.0 版。該版本將原來(lái)的5 個(gè)等級(jí)簡(jiǎn)化為3 個(gè)等級(jí)，進(jìn)一步明確了監(jiān)管要求、政策要求和合同要求，可操作性更強(qiáng)。第一級(jí)為基礎(chǔ)等級(jí)，即承包商需滿(mǎn)足17 項(xiàng)基本實(shí)踐；第二級(jí)為高級(jí)等級(jí)，即承包商需滿(mǎn)足110 項(xiàng)基本實(shí)踐，且要符合美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院特別出版物SP 800-171 的要求，同時(shí)還要對(duì)關(guān)鍵安全信息進(jìn)行三年一次的第三方評(píng)估，對(duì)特定項(xiàng)目進(jìn)行年度自評(píng)；第三級(jí)為專(zhuān)家級(jí)等級(jí)，除符合上述要求外，還要通過(guò)政府主導(dǎo)的評(píng)估。CMMC2.0 版預(yù)計(jì)于2023 年5 月全面實(shí)施，這將極大增強(qiáng)美國(guó)國(guó)防工業(yè)基礎(chǔ)的網(wǎng)絡(luò)安全，通過(guò)與工業(yè)部門(mén)建立更加協(xié)調(diào)的關(guān)系，有助于其采用最佳實(shí)踐來(lái)防止網(wǎng)絡(luò)威脅[6]。

3.3 加強(qiáng)遠(yuǎn)程辦公網(wǎng)絡(luò)安全

2020 年初新冠肺炎疫情突然爆發(fā)，制約了美國(guó)國(guó)防工業(yè)各層級(jí)承包商的正常工作，受其影響的美國(guó)國(guó)防工業(yè)領(lǐng)域單位實(shí)施遠(yuǎn)程辦公。為加強(qiáng)國(guó)防工業(yè)領(lǐng)域遠(yuǎn)程辦公網(wǎng)絡(luò)安全，防止敏感數(shù)據(jù)成為網(wǎng)絡(luò)竊取目標(biāo)，利用熱點(diǎn)事件發(fā)送釣魚(yú)郵件，以及傳播木馬病毒、惡意程序等問(wèn)題發(fā)生，CISA 密集發(fā)布文件，加強(qiáng)遠(yuǎn)程辦公網(wǎng)絡(luò)安全。

2020 年4 月，CISA 及時(shí)發(fā)布《可信互聯(lián)網(wǎng)連接3.0 臨時(shí)遠(yuǎn)程辦公指南》。從文件、電子郵件、網(wǎng)絡(luò)、域名服務(wù)器、入侵檢測(cè)、遠(yuǎn)程訪問(wèn)、統(tǒng)一通信與協(xié)作、數(shù)據(jù)保護(hù)等8 個(gè)方面，給出了新冠肺炎疫情期間遠(yuǎn)程辦公網(wǎng)絡(luò)安全要求。

隨著疫情的持續(xù)發(fā)酵，2021 年4 月，美國(guó)國(guó)家安全局又發(fā)布針對(duì)國(guó)防部、國(guó)家安全系統(tǒng)和國(guó)防工業(yè)部門(mén)的《制止針對(duì)互聯(lián)網(wǎng)運(yùn)維技術(shù)的惡意網(wǎng)絡(luò)活動(dòng)指南》。指南提供了系列實(shí)用方法，以更好地提高國(guó)防工業(yè)領(lǐng)域網(wǎng)絡(luò)安全。一是隔離系統(tǒng)，斷開(kāi)不必要連接以降低系統(tǒng)風(fēng)險(xiǎn)，只在執(zhí)行關(guān)鍵任務(wù)時(shí)啟動(dòng)連接；二是明確將信息技術(shù)系統(tǒng)連接到運(yùn)維技術(shù)系統(tǒng)和控制系統(tǒng)的必要性；三是甄別將信息技術(shù)系統(tǒng)連接到運(yùn)維技術(shù)系統(tǒng)和控制系統(tǒng)時(shí)的風(fēng)險(xiǎn)；四是量化為降低風(fēng)險(xiǎn)所帶來(lái)的成本增加；五是為決策者提供調(diào)查結(jié)果，從而有效評(píng)估這些必要性、風(fēng)險(xiǎn)與成本。

同年9 月，CISA 發(fā)布《保護(hù)虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）安全指南》。VPN 是遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)與服務(wù)的入口，因此極易成為高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊的重要目標(biāo)。指南給出4 點(diǎn)具體措施：一是選擇/使用國(guó)家信息保障聯(lián)盟（National Information Assurance Partnership，NIAP）產(chǎn)品列表上通過(guò)測(cè)試與認(rèn)證的VPN 產(chǎn)品；二是采用多因子身份認(rèn)證等強(qiáng)認(rèn)證方法；三是及時(shí)應(yīng)用與更新補(bǔ)??；四是盡量通過(guò)禁用非VPN 相關(guān)特性的方式來(lái)減少VPN 的攻擊面。

4 結(jié) 語(yǔ)

隨著安全形勢(shì)不斷變化，美國(guó)在努力建設(shè)先進(jìn)國(guó)防工業(yè)、大力提高武器裝備自主創(chuàng)新能力和科研生產(chǎn)能力的同時(shí)，更不斷加強(qiáng)國(guó)防工業(yè)的安全保密工作。一方面，美國(guó)構(gòu)建了較為完善的安全保密管控組織體系和法律法規(guī)標(biāo)準(zhǔn)體系；另一方面，美國(guó)結(jié)合數(shù)字時(shí)代的特點(diǎn)，使傳統(tǒng)防護(hù)技術(shù)與新技術(shù)有機(jī)結(jié)合，通過(guò)構(gòu)建智能、敏捷的安全保密防護(hù)機(jī)制和應(yīng)急響應(yīng)機(jī)制確保美國(guó)國(guó)防工業(yè)領(lǐng)域安全。